恶意代码检测.ppt

恶意代码检测
第1页，此课件共27页哦
主要内容
恶意代码简介
主要检测方法
逐步研究计划
第2页，此课件共27页哦
恶意代码简介
第3页，此课件共27页哦
恶意代码简介
第4页，此课件共27页哦其他应
用软件。
第9页，此课件共27页哦
恶意代码简介
典型恶意代码
.[隐秘追踪]
该病毒安装后会强制开机启动，隐藏桌面图标，同时拦截特定短信，以获取用户GPS位置信息，并上传远程服务器，严重泄漏用户隐私。
.[卧底大盗]
该软件安装后无图标开机自启动，启动后会监听手机的通话内容、发送短信并使用GPS跟踪您的行踪，同时会拦截短信内容、通话记录、邮件、手机号码等隐私内容上传到服务器，给用户的隐私安全带来严重威胁
第10页，此课件共27页哦
恶意代码简介
典型恶意代码
.[短信间谍]
该病毒安装后无图标，开机自动启动，启动后会发送扣费短信，并同时会删除短信信息和获取用户GPS位置，给用户的财产安全和个人隐私造成严重威胁。

该病毒伪装成Google Service类软件骗取用户下载，开机自动启动，安装后无图标，病毒启动后分别从远程服务器“***:9899/”和“***:9899/”站点可能会下载其它恶意应用，并强制安装到用户手机，浪费用户手机流量，给用户带来一定的经济损失，并可能给用户造成严重的安全威胁。
第11页，此课件共27页哦
恶意代码简介
病毒特征
开机自动运行
隐蔽性（隐藏自身、隐蔽通信）
异常行为（扣费、获取用户隐私信息）
第12页，此课件共27页哦
常见行为流程
第13页，此课件共27页哦
主要检测方法
静态检测
动态检测
第14页，此课件共27页哦
静态检测方法
在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。恶意代码从本质上是由指令构成的，根据分析过程是否考虑构成恶意代码的指令的语义，可以把静态分析方法分成基于代码特征的分析方法和基于代码语义的分析方法两种类型。
第15页，此课件共27页哦
静态检测方法
基于代码特征的检测方法
基于代码特征的分析方法在分析过程中，不考虑恶意代码的指令意义，而是分析指令的统计特性、代码的结构特性等。特征量分析方法常用于对执行程序类型的恶意代码进行分析。
第16页，此课件共27页哦
静态检测方法
基于代码语义的检测方法
基于代码语义恶意代码分析方法要求考虑构成恶意代码的指令含义，通过理解指令语义建立恶意代码的流程图和功能框图，进一步分析恶意代码的功能结构。
第17页，此课件共27页哦
静态检测方法
特征码扫描技术
第18页，此课件共27页哦
静态检测方法
完整性检查
对于系统文件资源，事先记录文件的MD5、SHAl等Hash值
对于系统内存资源，校验内存中可执行文件映像的完整性
第19页，此课件共27页哦
静态检测方法
启发式方法
静态启发式分析
动态模拟启发式技术
第20页，此课件共27页哦
动态检测方法
动态分析是指在恶意代码执行的情况下，利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程，了解恶意代码的功能
基于行为的分析方法是将恶意代码的系统调用序列记录下来，利用恶意代码特有的行为特征进行检测分析，当程序运行时，监测它的API调用情况，通过对恶意行为的形式化描述创建规则或模型，使用相应的匹配算法检测分析其恶意性
第21页，此课件共27页哦
动态检测方法
基于API函数调用的检测方法
序列枚举法
统计学方法
机器学习方法
数据挖掘方法
有限自动机方法
第22页，此课件共27页哦
动态检测方法
基于改造攻击树模型的检测方法
攻击树中根结点表示总目标，各分支表示实现总目标的各个方法。根据一颗给定的攻击树，可以从树的某个叶结点开始找到一条能够实现某一攻击目标的开销比较小的路径，反过来，每一条从根结点到叶结点的路径表示实现这个攻击目标所进行的一个完整的攻击过程。
第23页，此课件共27页哦
动态检测方法
基于频繁序列算法的检测方法
用S1--S6分别代表6种主要的异常行为所调用的函数序列，用p代表系统上任意一个API函数，用Q代表一个时间段内收集到的所有应用程序调用的API函数p的集合，用Si在Q中出现的次数与Q中元素总数的比值来计算序列Si的支持度，将此支持度与之前根据病毒样本所设置的最小支持度阂值进行比较来确定序列Si是否为频繁序列，并以此来